SSL VPN-Datenverkehr über einen vorhandenen IPsec-Tunnel

Hallo zusammen, 

Irgendwie komme ich nicht weiter, vielleicht kann mir ja jemand helfen.

Wir haben mehrere Geräte (Router) beim Kunden wo per IPsec Tunnel mit unsere XG verbunden sind soweit so gut.

Jetzt ist es so das einige Mitarbeiter aus dem Homeoffice aus das Geräte zugreifen müssen um evt. was zu Prüfen, die Mitarbeiter im Homeoffice

wählen sich bei uns über SSL VPN ein und sind somit mit dem Hausnetz verbunden. 

Jetzt zur Fragen:

Wie bekommen ich es hin das der Mitarbeiter aus dem Homeoffice auf das Geräte zugreifen kann? Ich Hab auch schon einiges Probiert aber leider bekomme ich es nicht hin. 

Folgendes besteht schon: 

SSL VPN Access

SSL VPN Pool = 10.81. xxx.x

SSL VPN Zugriffsregel / mit Übereinstimmung mit bekannten Benutzern und Gruppen

IPSec Tunnel zum externe Gerat = 172.xx.xxx.x

LAN -> IPsec / Regel 

 IPsec-->LAN / Regel 

Vielen Dank im voraus für die Unterstützung 



.
[edited by: emmosophos at 5:23 PM (GMT -7) on 12 Sep 2022]
Parents
  • Hi snowfreakxxl

    Wie von LuCar Toni erwähnt, liegt das Problem in der Konfiguration der SSL-VPN-Richtlinie (Fernzugriff) und im Routing.

    SSL-VPN-Richtlinie bearbeiten (Fernzugriff)

    Gehen Sie zu VPN > SSL VPN (Fernzugriff).
    Bearbeiten Sie die bestehende SSL-VPN-Fernzugriffsrichtlinie und fügen Sie das IPsec-Fernnetz unter Erlaubte Netzwerkressourcen hinzu.
    Klicken Sie auf Übernehmen.

    Erstellen eines IP-Netzwerkobjekts für den IPv4-Lease-Bereich des SSL-VPN-Fernzugriffs

    So ermitteln Sie den aktuellen IPv4-Lease-Bereich für SSL VPN (Fernzugriff):
    1. gehen Sie zu Konfigurieren > VPN.
    2. klicken Sie auf VPN-Einstellungen anzeigen.

    3. suchen Sie den IPv4-Lease-Bereich

    In diesem Beispiel ist der aktuelle IPv4-Lease-Bereich 10.81.234.5 - 10.81.234.55

    4.Erstellen Sie unter System > Host und Dienste > IP-Host ein Netzwerkobjekt für den IPv4-Lease-Bereich.

    5. Klicken Sie auf Speichern.

    Adding a firewall rule

    1. Gehen Sie zu Regeln und Richtlinien > Firewall-Regeln > Firewall-Regel hinzufügen > Neue Firewall-Regel.
    2 Konfigurieren Sie die Einstellungen wie unten gezeigt:

    Quellzonen :VPN
    Quellnetzwerke und -geräte : SSL-VPN-Fernzugriff IPv4-Lease-Bereich

    Ziel-Zonen: VPN
    Ziel-Netzwerke: IPsec-Fernnetzwerk
    Dienste: ANY

    Klicken Sie auf Verknüpfte NAT-Regel erstellen.

    Klicken Sie im Feld Translated Source (SNAT) auf die Dropdown-Liste und dann auf Create New > IP Address und erstellen Sie einen Eintrag für die IP der lokalen LAN-Schnittstelle

    .

    Klicken Sie auf "Speichern".
    Der folgende Screenshot zeigt die verknüpfte NAT-Regel. Klicken Sie auf "Speichern".

    Klicken Sie auf Speichern, um die Firewall-Regel zu speichern.

    Hinzufügen einer IPsec-Route

    Greifen Sie über SSH auf die Sophos Firewall CLI der Hauptniederlassung zu.
    Wählen Sie Option 4 für Device Console aus dem Menü.
    Fügen Sie die IPsec-Route mit dem folgenden Befehl hinzu:

    console> system ipsec_route add net 10.xxx/255.xxx tunnelname IPsecTunnel (Name des IPsec-Tunnels)

    d.h.: console> system ipsec_route add net 10.1.10.0/255.255.255.0 tunnelname To_Branch_Office

    Hinweis: 10.1.10.0 ist nur ein Beispiel. Fügen Sie das Subnetz des tatsächlichen Remote-Netzwerks hinzu, das auf dem IPSEC Site to Site Tunnel beworben wird.

    Um zu überprüfen, ob die IPsec-Route erfolgreich hinzugefügt wurde, geben Sie den folgenden Befehl ein:

    console> system ipsec_route show tunnelname host/network netmask to_branch_office 10.1.10.0 255.255.255.0

    Vielen Dank und beste Grüße

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo

    Danke für die Anleitung die kenne ich schon :) 

    Frage zur IPsec Route über SSH

    Warum genau muss ich den die IPsec Route über ssh anlegen ? ich hab doch schon eine IPSec route zum gerät. gibt es da nicht ne andere Lösung ? ich müsste es ja dann fast für 50 Externe Geräte machen wo zu uns eine Verbindung aufbauen.

  • Ja, klicken Sie auf HINZUFÜGEN und erstellen Sie ein neues Profil. Geben Sie einen Namen ein und legen Sie die Richtlinienmitglieder und die zulässigen Netzwerkressourcen fest.

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Verbinden Sie den SSL-VPN-Benutzer und den Status für das Remote-Subnetz auf Sophos Connect, wenn das 172.x-Subnetz angezeigt wird, machen Sie einen kontinuierlichen Ping mit Paketaufzeichnung. 

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • hm echt komisch , das 172 Netz wird nicht angezeigt  .....  

    mein User steht auch überall drin , in der SS-VPN Profil und der SSL-VPN Richtline mit dem User an am Client PC angelmeldet und mit dem User die VPN Verbindung aufgebaut 

    Konfiguration vom User Portal auch neu installiert 

  • Schau mal in den Log von Sophos connect. Die VPN Logs sollten anzeigen, welche Netze angeboten werden. 

    __________________________________________________________________________________________________________________

  • es ist nur die192.168.xxxx drin nicht die 172 xxx 

    2022-09-09 14:07:35 C:\WINDOWS\system32\route.exe ADD 192.168.28.0 MASK 255.255.252.0 10.81.234.5
    2022-09-09 14:07:35 Route addition via service succeeded

    Mein Regel steht an erster stelle 

  • Die Regel kommt später, nachdem wir zuerst das Subnetz mit Sophos Connect überprüft haben

    Bitte melden Sie sich bei SSH von Sophos XG mit der Anwendung putty an und gehen Sie zu 5. Geräteverwaltung > 3. Erweiterte Shell.

    tail -f /log/sslvpn.log

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • sorry aber das kann ich erst am Montag machen ich hab das PW nicht, mein user hat das Recht nicht :( 

  • Didn't you have to create a NAT rule? 

    Nein, ich habe kein NAT erstellt, da Ping funktionierte. Falls Ping nicht funktioniert, wenden Sie das NAT gemäß dem Verkehrsfluss unter dem Paketaufzeichnungsstatus an.

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo 

    Ich glaub ich hab den Grund gefunden warum der Client (SSL-VPN) das Subnetz nicht mitbekommt 

    https://support.sophos.cm/support/s/article/KB-000041768?language=en_US

    Wir haben auch noch die Version 18.0 MR5 SR1 (Build586) drauf :(  

Reply Children